Ces derniers mois ont été difficiles pour les gestionnaires de mots de passe, mais principalement pour LastPass. Mais après les révélations selon lesquelles LastPass avait a subi une violation majeure, l'attention se tourne désormais vers le gestionnaire open source KeePass.
Contenu
- Ce ne sera pas réparé
- Que pouvez-vous faire?
Des accusations ont été lancées selon lesquelles une nouvelle vulnérabilité permettrait aux pirates informatiques de voler subrepticement l’intégralité de la base de données de mots de passe d’un utilisateur en texte brut non crypté. C’est une affirmation incroyablement sérieuse, mais les développeurs de KeePass la contestent.
KeePass est un logiciel open source gestionnaire de mots de passe qui stocke son contenu sur l’appareil d’un utilisateur, plutôt que dans le cloud comme les offres concurrentes. Cependant, comme beaucoup d’autres applications, son coffre-fort de mots de passe peut être protégé par un mot de passe principal.
En rapport
- Ces mots de passe embarrassants ont fait pirater des célébrités
- Google vient de rendre cet outil de sécurité essentiel pour Gmail entièrement gratuit
- NordPass ajoute la prise en charge des clés d'accès pour bannir vos mots de passe faibles
La vulnérabilité, enregistrée sous CVE-2023-24055, est accessible à toute personne disposant d’un accès en écriture au système d’un utilisateur. Une fois cela obtenu, un acteur malveillant peut ajouter des commandes au fichier de configuration XML de KeePass qui exporter automatiquement la base de données de l'application - y compris tous les noms d'utilisateur et mots de passe - vers un fichier non crypté fichier en texte brut.
Vidéos recommandées
Grâce aux modifications apportées au fichier XML, tout le processus se fait automatiquement en arrière-plan, de sorte que les utilisateurs ne sont pas avertis que leur base de données a été exportée. L'acteur malveillant peut ensuite extraire la base de données exportée vers un ordinateur ou un serveur qu'il contrôle.
Ce ne sera pas réparé
Cependant, les développeurs de KeePass ont contesté la classification du processus comme vulnérabilité, car quiconque qui a un accès en écriture à un appareil peut mettre la main sur la base de données de mots de passe en utilisant différents (parfois plus simples) méthodes.
En d’autres termes, une fois que quelqu’un a accès à votre appareil, ce type d’exploit XML n’est plus nécessaire. Les attaquants pourraient par exemple installer un enregistreur de frappe pour obtenir le mot de passe principal. Le raisonnement est que s’inquiéter de ce genre d’attaque, c’est comme fermer la porte après que le cheval s’est enfui. Si un attaquant a accès à votre ordinateur, la correction de l’exploit XML ne sera d’aucune utilité.
La solution, affirment les développeurs, consiste à « maintenir la sécurité de l’environnement (en utilisant un logiciel antivirus, un pare-feu, en n’ouvrant pas les pièces jointes inconnues, etc.). KeePass ne peut pas fonctionner comme par magie en toute sécurité dans un environnement non sécurisé.
Que pouvez-vous faire?
Bien que les développeurs de KeePass ne semblent pas disposés à résoudre le problème, vous pouvez prendre certaines mesures vous-même. La meilleure chose à faire est de créer un fichier de configuration forcé. Cela aura priorité sur les autres fichiers de configuration, atténuant ainsi toute modification malveillante apportée par des forces extérieures (telles que celles utilisées dans la vulnérabilité d'exportation de base de données).
Vous devrez également vous assurer que les utilisateurs réguliers n'ont pas accès en écriture aux fichiers ou dossiers importants contenus. dans le répertoire KeePass, et que le fichier KeePass .exe et le fichier de configuration appliquée se trouvent dans le même dossier.
Et si vous ne vous sentez pas à l’aise de continuer à utiliser KeePass, il existe de nombreuses autres options. Essayez de passer à l'un des meilleurs gestionnaires de mots de passe pour garder vos identifiants et vos informations de carte de crédit plus sûrs que jamais.
Même s’il s’agit sans aucun doute d’une mauvaise nouvelle pour le monde des gestionnaires de mots de passe, ces applications valent toujours la peine d’être utilisées. Ils peuvent vous aider à créer mots de passe forts et uniques qui sont cryptés sur tous vos appareils. C'est bien plus sûr que en utilisant « 123456 » pour chaque compte.
Recommandations des rédacteurs
- Cet exploit critique pourrait permettre aux pirates de contourner les défenses de votre Mac
- Les pirates ont peut-être volé la clé principale d'un autre gestionnaire de mots de passe
- Non, 1Password n’a pas été piraté – voici ce qui s’est réellement passé
- Si vous utilisez ce gestionnaire de mots de passe gratuit, vos mots de passe pourraient être en danger
- LastPass révèle comment il a été piraté – et ce n'est pas une bonne nouvelle
Améliorez votre style de vieDigital Trends aide les lecteurs à garder un œil sur le monde en évolution rapide de la technologie avec toutes les dernières nouvelles, des critiques de produits amusantes, des éditoriaux perspicaces et des aperçus uniques.
